ソフトウェアと高性能: なぜ相互に排他的である必要がないのか
現時点では、ハードウェア中心の環境からクラウドやソフトウェア定義のアーキテクチャに移行することのメリットはよく知られており、スケーラビリティの向上、運用の俊敏性、経済的な柔軟性などが挙げられます。 しかし、これらの利益を実現するために、組織はアプリのパフォーマンスに関して犠牲を払わなければならないという誤解もよくあります。 結局のところ、共有の仮想化インフラストラクチャは、カスタムの専用ハードウェアと同等のパフォーマンスをどのようにして実現できるのでしょうか?
また、多くの新しいステートレスなクラウドネイティブ アプリは、需要の増加に応じて水平方向に拡張できるように設計されていますが、増大する需要を満たすために垂直方向に拡張することを制限するステートフル要件を持つモノリシック ワークロードが依然として数千個存在します。 これらのアプリでは、クラウドに移行しても再設計されないか、そもそも再設計できないものが多いため、ソフトウェアのパフォーマンス (およびスケーラビリティ) の向上が非常に重要です。
BIG-IP 仮想エディション (VE) の登場
10 年前に BIG-IP VE が発売されて以来、お客様から最も頻繁に寄せられる質問の 1 つは、「貴社のハードウェアと比較して、VE ではどの程度のスケーリングとトラフィック処理パフォーマンスが得られるのでしょうか? 」というものです。 何年も前、初期の VE はトラフィックの少ない特定のアプリに搭載されたアプリ配信ハードウェアを置き換えることのみを目的としていたため、両者のギャップはかなり大きかった。 当時、VE はハードウェアで可能な L4/L7 リクエストと接続の一部を処理し、約 1Gbps のトラフィックしか処理できませんでした。
しかし、現在では、適切な条件が整えば、VE は 100Gbps を超えるapplicationトラフィックを処理でき、他のトラフィック処理メトリックでも最高性能のアプライアンスを除くすべてのアプライアンスに匹敵します。 この記事では、物理的な対応製品とのパフォーマンスの差をほぼ埋めるのに役立った最近の VE の機能強化とサポートされているアクセラレーション テクノロジをいくつか紹介するとともに、SmartNIC で取り組んでいる次の VE 最適化プロジェクトについても紹介します。
- シングルルート I/O 仮想化 (SR-IOV) を最適化するカスタム VE ポーリング モード ドライバー
仮想化の基礎に馴染みのない方のために説明すると、その中核となる概念は、基盤となるハードウェアの機能をエミュレートするソフトウェア層 (OS/ハイパーバイザー) をホストする物理サーバーであり、その上で、異なるオペレーティング システムを持つ複数の異なる仮想マシン (BIG-IP VE など) を実行できるようにします。 物理サーバーのリソース使用率を最適化し、アプリケーションのモビリティを実現するには最適ですが、追加のハイパーバイザー レイヤーと関連する仮想スイッチが必要になるため、関連するすべてのコピーと割り込みとともにリクエストが通過する必要があるため、レイテンシが増加し、パフォーマンスが低下します。
ただし、SR-IOV を使用すると、VE は物理サーバー上のネットワーク インターフェイス (NIC) と直接対話できるため、仮想スイッチ層をバイパスして、レイテンシとパフォーマンスが向上します。 SR-IOV は今日ではかなり一般的なテクノロジーですが (ほとんどの NIC ベンダーがサポートしています)、OS カーネルに含まれているゲスト ドライバーや NIC ベンダーが提供するゲスト ドライバーは汎用的なものであり、BIG-IP 専用に最適化されていません。 このため、F5 は、さまざまな主要 NIC アダプタ向けの VE ポーリング モード ドライバの開発にも多額の投資を行っており、SR-IOV 使用時の VE パケット処理の高速化に役立っています。このアプローチにより、VE は AWS で最大 20 Gbps の L4 スループット (Gen5 インスタンスの AWS Elastic Network Adapter を使用)、Azure で最大 10 Gbps (Azure Accelerated Networking を使用)、プライベート クラウド環境で 85 Gbps を超えるスループット (Mellanox CX5 100G NICを使用) を達成できるようになりました。
さらに、リンク アグリゲーション (基本的には複数の異なる NIC ポートを組み合わせて単一の高スループット データパスを作成する) を実行することで、100 Gbps を超える速度を実現できます。 このアプローチを使用して、単一の VE が 3 つの 40G Intel NIC を使用して 108Gbps を達成する方法については、この DevCentral の記事で学ぶことができます。
- Intel Quick Assist Technology (QAT) による暗号化処理のオフロード
現在、Web トラフィックの半分以上が暗号化されており、IoT デバイスの爆発的な増加と 5G への世界的な移行により、暗号化が必要なデータの量は飛躍的に増加する見込みです。 BIG-IP VE は、クライアントとサーバー間のフルプロキシ アーキテクチャ内で動作し、すべての暗号化されたトラフィックを復号化して、悪意のあるペイロードを検査、分析、ブロックしてから、データを再暗号化して目的の宛先にルーティングします。 VE は高性能なソフトウェアベースの暗号化を実現するように最適化されていますが、このプロセスは CPU リソースに負担をかけ、他の L7 タスク、iRules、またはポリシー適用に使用できる処理サイクル数を減らす可能性があります。
重要な暗号化処理要件を持つワークロードに対するこの影響を軽減するために、VE は暗号化を、暗号化処理と圧縮専用のハードウェア アクセラレータである Intel QAT にオフロードします。 そうすることで、VE は CPU を大量に消費するタスクをオフロードし、計算サイクルを解放して、全体的なパフォーマンスを向上させることができます。 この証拠は、VE と QAT を併用した場合の影響に関する最近の研究で確認でき、次のことが示されています。
- CPU使用率を最大45%削減
- バルクスループットが最大200%増加
- 1秒あたりのトランザクション数(TPS)が最大500%増加
- スロットルなしの高性能VEの導入
- 将来 – Intel の SmartNIC を使用したハイパースケール DDoS 緩和
F5 のハイパフォーマンス VE が利用可能になる前は、すべての VE でスループット レート制限ライセンス モデルが使用されており、ライセンスはスループット レベルと CPU の数 (たとえば、200 Mbps と 2vCPU) を設定するように調整されていました。 小規模なアプリの場合は 25 Mbps のインスタンスで十分でしょうが、逆に需要の高いアプリの場合は最大の 10 Gbps のインスタンスの方が適しているかもしれません。
しかし、要求がより高いアプリの場合はどうでしょうか? あるいは、予測できない要件を持つものはありますか? F5 は、より高い帯域幅の NIC をサポートし、10Gbps を超えるようになったため、使用が許可された vCPU の数に応じてライセンスされる高性能 VE を導入しました。 ハイパフォーマンス VE で達成できる最大パフォーマンスは、割り当てられた vCPU の数 (8vCPU から 24vCPU まで、4vCPU 単位で増加) に依存します。 このアプローチは、VE が各 CPU から「1 秒あたりのパケット」をすべて絞り出せるようになるだけでなく、DDoS 緩和や SSL/TLS 暗号化など、CPU を集中的に使用するユースケースもサポートします。
High Performance VE の機能の詳細については、BIG-IP VEデータシートをご覧ください。
分散型サービス拒否 (DDoS) 攻撃は、依然として最も効果的かつ広く使用されているサイバー攻撃の形態の 1 つであり、不満を抱いたオンライン ゲーマーから国家のサイバー チームまで、あらゆる人が DDoS 攻撃を利用して、標的のアプリやサービスをオフラインにしています。 これらの攻撃は、世界中に点在するマシンからの何千もの異なる接続を利用する可能性があり、特に攻撃を軽減する能力が不十分なセキュリティ ソリューションをすぐに圧倒する可能性があります。 また、世界規模で 5G への移行が進むにつれ、より少ないデバイスでリソースを消耗させる大規模なボットネットを形成することが容易になり、DDoS 攻撃の規模、深刻度、複雑さは増すばかりです。
しかし幸いなことに、DDoS 緩和などの特定の CPU 集中型の機能を、BIG-IP VE から Intel の (N3000 プログラマブル アクセラレーション カード) (フィールド プログラマブル ゲート アレイ (FPGA) が組み込まれた SmartNIC) にオフロードできるようになる予定です。 F5 が 10 年以上にわたる FPGA 使用の豊富な経験を活用して正しくプログラムすると、この SmartNIC は VE の DDoS 軽減機能を飛躍的に向上させることができます。 実際、F5 による初期テストでは、この複合ソリューションは CPU のみを使用する VE よりも 70 倍の規模の DDoS 攻撃に耐えることができ、アプリとネットワークのセキュリティ維持に役立つことが示されています。
この統合は今年後半に一般公開される予定で、追加情報はこのソリューション概要で入手できます。